---------------------------------------------------------------------------------------------------
착 수 : 2008. 01. 05.
프로젝트 코드 : INNOVATION 02
공 식 명 칭 : N3015M Blind/SQL Injection for Developer
가 칭 : HappyHacking Series 01
개 발 언 어 : C#
프로젝트 목적 : 웹 애플리케이션 개발자 및 관련 업무 담당자 들이 해당 애플리케이션이
SQL Injection에 취약한지 자가 진단을 통해 문제점을 찾아 보안 취약점 제거 및
보안성을 강화하는데 목적이 있다.
구 현 목 표 : SQL Injection 취약점 검증
완 료 예 정 : 2008. 01. 31.
진 행 사 항 : [GUI 설계] → [Core 구현] → [ 기능구현 ] → [베타 테스트 1차] → [1차 수정]
→ [베타 테스트 2차] → [2차 수정] → [완료]
---------------------------------------------------------------------------------------------------
수정 작업을 시작했다. 일단 BETA 1을 배포하고 나니 마음이 좀 편안해 졌다. 어제 밤샘 메뉴얼 작성할때는 정말 괴롭단 생각마져 들 정도 였는뎅.. 왜 갑자기 괴롭단 생각이 든 것일까 ^^; 사람의 마음은 언제나 변덕이 있다. 이성으로 이겨가는 것인가 보다.
일단 미리 알고 있는 문제점부터 손을 대기 시작했고 몇 가지 수정을 가했다.
1. Project Open 오류 수정
생성된 프로젝트가 없을 경우 닫기 버튼을 누를 경우 에러가 발생한 문제를 수정하였다.
2. DB Server 오탐 수정
DB 서버에 오탐 문제가 Field 테스트 결과 문제가 많이 있었는데 일단 DB 탐지를 위해 True와 False 조건을 둘다 만족 시킬 경우로 변경하였더니 일단 발견된 오탐 문제는 없어졌다.
아래의 이미지에서 BETA 1에서는 DB Server가 MSSQL로 표기되나 수정버전에서는 unknown으로 출력되었으며 실제 해당 파라메터는 SQL Injection에 문제가 없어 오탐으로 확인되었다.
수정 전에는 DB Server에서 오탐이 있을 경우 무조건 MSSQL이 출력되었으나 해당 부분을 아래와 같이 수정하여 해결하였다. 일단 현재는 탐지율이 매우 좋아졌다.
3. POST 방식 탐지 추가
CORE 2.0 Light 버전에서 GET방식과 POST방식을 완전 분리하여 혼용 처리되는 문제점을 해결 하였고 POST 데이터 검사 기능을 추가하였다.
POST BUTTON의 TEXT BOX에 DATA가 있을 경우 무조건 POST로 전송되며 POST CHECKBOX를 선택을 통해서 GET방식과 POST 방식 중에 선택하여 검증이 가능하도록 처리 하였다.
포스트 데이터 선택 화면이다.
체크가 없을 경우 URL에서 선택된 파라메터를 검증수행.
체크가 있을 경우 POST에서 선택된 파라메터 검증을 수행.
4. URL이 없을 경우 GRID 출력 오류 수정
URL이 없을 경우 "URL을 입력해 주세요" 출력 후에 GRID가 출력되는 문제점을 수정하였다.
착 수 : 2008. 01. 05.
프로젝트 코드 : INNOVATION 02
공 식 명 칭 : N3015M Blind/SQL Injection for Developer
가 칭 : HappyHacking Series 01
개 발 언 어 : C#
프로젝트 목적 : 웹 애플리케이션 개발자 및 관련 업무 담당자 들이 해당 애플리케이션이
SQL Injection에 취약한지 자가 진단을 통해 문제점을 찾아 보안 취약점 제거 및
보안성을 강화하는데 목적이 있다.
구 현 목 표 : SQL Injection 취약점 검증
완 료 예 정 : 2008. 01. 31.
진 행 사 항 : [GUI 설계] → [Core 구현] → [ 기능구현 ] → [베타 테스트 1차] → [1차 수정]
→ [베타 테스트 2차] → [2차 수정] → [완료]
---------------------------------------------------------------------------------------------------
수정 작업을 시작했다. 일단 BETA 1을 배포하고 나니 마음이 좀 편안해 졌다. 어제 밤샘 메뉴얼 작성할때는 정말 괴롭단 생각마져 들 정도 였는뎅.. 왜 갑자기 괴롭단 생각이 든 것일까 ^^; 사람의 마음은 언제나 변덕이 있다. 이성으로 이겨가는 것인가 보다.
일단 미리 알고 있는 문제점부터 손을 대기 시작했고 몇 가지 수정을 가했다.
1. Project Open 오류 수정
생성된 프로젝트가 없을 경우 닫기 버튼을 누를 경우 에러가 발생한 문제를 수정하였다.
2. DB Server 오탐 수정
DB 서버에 오탐 문제가 Field 테스트 결과 문제가 많이 있었는데 일단 DB 탐지를 위해 True와 False 조건을 둘다 만족 시킬 경우로 변경하였더니 일단 발견된 오탐 문제는 없어졌다.
아래의 이미지에서 BETA 1에서는 DB Server가 MSSQL로 표기되나 수정버전에서는 unknown으로 출력되었으며 실제 해당 파라메터는 SQL Injection에 문제가 없어 오탐으로 확인되었다.
수정 전에는 DB Server에서 오탐이 있을 경우 무조건 MSSQL이 출력되었으나 해당 부분을 아래와 같이 수정하여 해결하였다. 일단 현재는 탐지율이 매우 좋아졌다.
3. POST 방식 탐지 추가
CORE 2.0 Light 버전에서 GET방식과 POST방식을 완전 분리하여 혼용 처리되는 문제점을 해결 하였고 POST 데이터 검사 기능을 추가하였다.
POST BUTTON의 TEXT BOX에 DATA가 있을 경우 무조건 POST로 전송되며 POST CHECKBOX를 선택을 통해서 GET방식과 POST 방식 중에 선택하여 검증이 가능하도록 처리 하였다.
포스트 데이터 선택 화면이다.
체크가 없을 경우 URL에서 선택된 파라메터를 검증수행.체크가 있을 경우 POST에서 선택된 파라메터 검증을 수행.
4. URL이 없을 경우 GRID 출력 오류 수정
URL이 없을 경우 "URL을 입력해 주세요" 출력 후에 GRID가 출력되는 문제점을 수정하였다.
